Red teaming

Jedná se o proaktivní strategii kybernetické bezpečnosti, která zahrnuje simulované nedestruktivní kyberútoky s cílem identifikovat technické, lidské i fyzické zranitelnosti dříve, než je zneužijí skuteční útočníci. Red teaming poskytuje organizacím komplexní pohled na stav jejich zabezpečení prostřednictvím postupů kombinujících technické, fyzické a psychologické aspekty testování. 

Termín „Red Team“ vznikl v šedesátých letech ve Spojených státech jako označení protivníka ve válečných hrách západních národů během studené války. Označení odkazuje na převážně červené vlajky komunistických států jako bývalého SSSR a Čínské lidové republiky, zatímco západní síly představovaly „Blue Team“. Barevné rozlišení má své kořeny už v prvních válečných hrách (jako pruský Kriegspiel z roku 1824), určených pro výcvik důstojníků, kde byly vojenské jednotky reprezentovány červenými (nepřítel) a modrými (vlastní armáda) figurkami. Postupně se metoda simulovaných útoků rozšířila z armády do podniků i dalších organizací, kde červené týmy etických hackerů prověřují slabiny zabezpečení v rámci komplexní strategie kybernetické bezpečnosti. 

Red teaming simuluje reálný útok a testuje reakce obránců (blue teamu), tj. členů oddělení IT odpovědných za obranu systémů organizace proti všem útočníkům, tedy i červenému týmu. Jejich každodenní práce typicky zahrnuje monitorování systémů, vyšetřování upozornění a koordinaci reakce na bezpečnostní incidenty. 

Důležitá je rovněž funkce purple teamingu, který má roli zprostředkovatele komunikace a spolupráce mezi útočnými a obrannými týmy v reálném čase. Purple teaming přispívá k předávání poznatků o nedostatcích kybernetické bezpečnosti, implementaci nových opatření a celkovému zlepšení úrovně kybernetické bezpečnosti organizace.  

Red teaming do značné míry připomíná penetrační testování, ale zásadní rozdíl spočívá v tom, že red teaming je více založen na scénářích a probíhá v určitém časovém rámci konfrontace mezi útočným a obranným týmem, zatímco penetrační testy jsou podobné spíše tradičnímu bezpečnostnímu hodnocení zaměřenému na identifikaci potenciálně zneužitelných zranitelností.  

Metody a technické přístupy 

Podle cíle a způsobů simulovaných útoků rozlišujeme tři hlavní metody red teamingu:  

• Technický red teaming se zaměřuje na kompromitaci sítí, počítačů a dalších součástí IT infrastruktury pomocí různých útočných vektorů k získání přístupu, po kterém následuje průzkum za účelem odhalení dalších slabin a možností postupu v síti. Proces zahrnuje systematické hledání přihlašovacích údajů, jako jsou hesla a cookies relace, jež umožňují přístup k dalším systémům v síti organizace. 
• Fyzický red teaming testuje fyzické zabezpečení zařízení včetně bezpečnostních pravidel, která mají zaměstnanci dodržovat, a vybavení, jako jsou kamery, zámky atd. 
• Sociální inženýrství – red teamy využívají taktiky sociálního inženýrství k manipulaci zaměstnanců za účelem získání přístupových údajů prostřednictvím phishingu, telefonních hovorů nebo falšování identity. Tyto techniky zneužívají lidskou přirozenost, která často představuje nejslabší článek v bezpečnostním řetězci organizace. 

K otestování odolnosti zabezpečení organizace využívají red teamy různé taktiky, které jim mají pomoci získat přístup do systémů a k citlivým datům. Patří k nim především: 

• Penetrační testování webových aplikací, které hledá slabiny v designu a konfiguraci internetových aplikací pomocí technik, jako je cross-site request forgery k získání přístupu. 
• Penetrační testování sítě odhaluje slabiny v síti nebo systému hledáním přístupových bodů, jako jsou například otevřené porty na bezdrátové síti. 
• Penetrační testování fyzické bezpečnosti vyhledává slabiny ve fyzických bezpečnostních opatřeních prostřednictvím pokusů o získání přístupu do organizace a k jejímu majetku. 
• Průzkum a sběr informací, jako jsou například e-mailové adresy zaměstnanců, z veřejně dostupných zdrojů (Open Source Intelligence – OSINT). Získané informace lze následně využít k phishingu (případně spear phishingu) a jeho prostřednictvím získat přístupové údaje nebo například infikovat zařízení oběti malwarem, který poskytne red teamu přístup do firemní sítě. 
• Eskalace oprávnění a laterální pohyb prostřednictvím neošetřených zranitelností softwaru, nesprávné konfigurace nebo použití malwaru.  

Red team se snaží skrýt v síti a vyhnout se detekci obránců (blue teamu) nebo SOC (centra bezpečnostních operací).  

Red teaming ve spojení s AI

Specifickou oblastí red teamingu jsou simulované útoky na modely umělé inteligence (AI). Red teaming pro generativní AI představuje provokování modelu, aby řekl nebo udělal věci, které byl explicitně trénován nedělat, nebo aby vyšly na povrch předsudky neznámé jeho tvůrcům. Velké jazykové modely (Large Language Models – LLM) jsou totiž trénovány na obrovském množství textových dat a jsou velmi dobré v generování realistického textu. Tyto modely ale často vykazují i nežádoucí chování, jako je odhalování osobních informací (například rodná čísla) a generování dezinformací, předsudků, nenávisti nebo toxického obsahu. 

K prolomení bezpečnostních zábran velkých jazykových modelů (Large Language Models – LLM), označovanému jako jailbreaking, slouží speciální techniky manipulace, jako je hraní rolí škodlivých postav nebo používání kódování místo přirozeného jazyka. 

Přínosy red teamingu

Red teaming umožňuje organizacím proaktivně odhalit, pochopit a opravit bezpečnostní rizika dříve, než je využijí skuteční útočníci. Hodnocení navíc nekončí hned poté, co jsou odhaleny počáteční zranitelnosti. Cvičení se rozšiřuje směrem k fázím opětovného testování, laterálního pohybu a nápravy, které otestují téměř každý aspekt strategie kybernetické bezpečnosti. 

Kontinuální zpětná vazba získaná na základě red teamingu umožňuje organizacím rychle detekovat a zmírnit zranitelnosti a zkrátit tak čas, který mají reální útočníci na využití slabin v zabezpečení. Důležitý je také purple teaming, který poskytuje praktické zkušenosti a příležitosti k učení v reálném čase, kdy blue team získává poznatky o útočných technikách a red team pochopí obranné mechanismy. 

Red teaming se stal základní součástí moderního přístupu k řízení kybernetických rizik. Jeho efektivita ale závisí na organizační kultuře podporující kontinuální učení, mezioborovou spolupráci a proaktivní přístup k identifikaci a zmírňování bezpečnostních hrozeb. 

Budoucí vývoj směřuje k integraci kontinuálního automatizovaného red teamingu s novými technologiemi umělé inteligence, což umožní škálovatelnou a proaktivní kybernetickou obranu s adaptivními schopnostmi reagovat na vznikající hrozby.